Investigadores de Varonis han identificado Stanley, un nuevo servicio de malware-as-a-service (MaaS) orientado a la creación y distribución de extensiones maliciosas de navegador para Chrome, Edge y Brave. La plataforma se promociona en foros clandestinos con una promesa especialmente preocupante: facilitar la publicación de estas extensiones en el Chrome Web Store con alta probabilidad de superar los procesos de revisión.
Un MaaS centrado en extensiones de navegador y evasión de Chrome Web Store
Stanley toma su nombre del alias del vendedor que lo comercializa en mercados y foros de ciberdelincuencia. A diferencia de los kits de exploits o paquetes de phishing tradicionales, este servicio se especializa en el ecosistema de extensiones de navegador, un vector de ataque cada vez más atractivo por el nivel de confianza que los usuarios depositan en estos complementos y los amplios permisos que suelen concederles.
El modelo malware-as-a-service reduce significativamente la barrera de entrada: incluso actores con poca experiencia técnica pueden lanzar campañas maliciosas apoyándose en una infraestructura ya preparada, soporte 24/7 y plantillas listas para desplegar. Stanley lleva esta lógica al terreno de las extensiones, explotando la percepción de legitimidad que otorga la distribución a través de tiendas oficiales.
Capacidades técnicas de las extensiones maliciosas Stanley
Superposición por iframe a pantalla completa y suplantación de sitios legítimos
El rasgo más distintivo de Stanley es su mecanismo de intercepción de la navegación. Las extensiones generadas por este servicio son capaces de ocultar la página real que visita la víctima mediante un iframe a pantalla completa, sobre el que se carga contenido de phishing o cualquier otro tipo de recurso malicioso definido por el operador.
Un elemento crítico es que, durante la ejecución del ataque, la barra de direcciones sigue mostrando el dominio legítimo. El usuario cree estar interactuando con el sitio original (por ejemplo, la banca en línea o un servicio cloud empresarial), cuando en realidad introduce credenciales y datos sensibles en una página controlada por los atacantes. Esta técnica incrementa de forma notable la eficacia del phishing y facilita el robo de nombres de usuario, contraseñas, datos de tarjetas y tokens de sesión.
Seguimiento, segmentación de víctimas y resiliencia de la infraestructura
El análisis de Varonis muestra que las extensiones de Stanley pueden identificar a las víctimas por su dirección IP, aplicar geotargeting y rastrear su actividad a través de múltiples sesiones y dispositivos. Este nivel de seguimiento permite a los operadores centrar esfuerzos en perfiles de mayor valor (por país, sector, rango de IP corporativo o incluso horarios concretos), mejorando la rentabilidad de las campañas.
Las extensiones se comunican de forma periódica con un servidor de mando y control (C2), aproximadamente cada 10 segundos, para recibir nuevas reglas de inyección, actualizaciones de contenido y comandos. Además, integran mecanismos de rotación de dominios de respaldo, lo que dificulta la interrupción de la infraestructura mediante bloqueos DNS o filtrado de tráfico. Una consola web permite activar o desactivar reglas en tiempo real y enviar notificaciones emergentes en el navegador para redirigir a la víctima hacia otros recursos maliciosos.
Modelo de negocio MaaS, planes y distribución de Stanley
Uno de los elementos más preocupantes de Stanley es su modelo de distribución y servicio. El proveedor afirma ofrecer un proceso de instalación automatizada y sigilosa de las extensiones en Chrome, Edge y Brave, junto con asistencia directa para superar la moderación del Chrome Web Store. En la publicidad, se sugieren tasas de aprobación “garantizadas”, un mensaje diseñado para atraer a delincuentes que buscan canales de propagación aparentemente legítimos.
El servicio se comercializa por suscripción, con varios niveles de tarifa. El plan superior, denominado Luxe Plan, incluye panel de control web, soporte 24/7 y acompañamiento en la publicación de la extensión maliciosa en la tienda oficial. Este enfoque industrializa la creación de extensiones maliciosas y facilita que actores poco sofisticados puedan ejecutar campañas de phishing, fraude y robo de credenciales a gran escala.
Riesgos para usuarios finales y organizaciones
Las extensiones maliciosas como las que habilita Stanley no solo afectan a usuarios domésticos. En entornos corporativos, el navegador es la puerta de entrada a servicios cloud, correo corporativo, CRM, paneles de administración, sistemas financieros y herramientas de colaboración. La compromisión de una sola extensión puede derivar en fugas masivas de datos, secuestro de cuentas y fraudes financieros.
Diversos informes de Google y de empresas de seguridad indican que cada año se eliminan miles de extensiones de Chrome Web Store por incumplir políticas de seguridad o comportamiento malicioso. La aparición de plataformas MaaS especializadas en evadir estos controles incrementa la presión sobre los mecanismos de defensa de los navegadores y obliga a reforzar tanto la detección automatizada como las políticas de uso en las organizaciones.
Medidas de protección frente a extensiones de navegador maliciosas
Para mitigar el riesgo asociado a este tipo de amenazas, resulta clave combinar controles técnicos y medidas organizativas. Entre las prácticas recomendadas se incluyen:
1. Restringir la instalación de extensiones a desarrolladores reconocidos y soluciones ampliamente auditadas, revisar periódicamente el listado de complementos instalados y eliminar aquellos que no sean estrictamente necesarios.
2. Aplicar políticas centralizadas (GPO, MDM u otras herramientas de gestión) que definan listas blancas de extensiones permitidas en entornos corporativos y bloqueen la instalación no autorizada.
3. Respetar el principio de mínimo privilegio, evitando conceder a las extensiones permisos excesivos sobre todos los sitios o sobre datos sensibles cuando no sea imprescindible.
4. Desplegar soluciones de filtrado web, Secure Web Gateway y CASB capaces de detectar patrones anómalos de tráfico, conexiones frecuentes a dominios de comando y control y descargas de contenido sospechoso inyectado en el navegador.
5. Formar de manera continua a los usuarios para que reconozcan indicadores de phishing y comportamientos anómalos del navegador, como formularios de inicio de sesión a pantalla completa inesperados, cambios en la interfaz o notificaciones emergentes inusuales.
La irrupción de servicios como Stanley evidencia la rápida evolución del ecosistema criminal en torno a las extensiones de navegador y el modelo malware-as-a-service. Elevar el nivel de vigilancia sobre lo que se instala en el navegador, reforzar las políticas de seguridad y establecer capacidades de monitorización continua son pasos imprescindibles para reducir la superficie de ataque. Cuanto antes se integren estos controles en la estrategia de ciberseguridad, menor será la probabilidad de que la próxima campaña de extensiones maliciosas encuentre un punto de entrada en la infraestructura de la organización.
